Piratas informáticos desconocidos lograron robar 56 bitcoins, por un valor aproximado de $1,5 millones, de cajeros automáticos especializados diseñados para distribuir criptomonedas. La peor parte es que los fondos robados también pertenecían parcialmente a los clientes del cajero automático.
Según el informe, los cajeros automáticos funcionan permitiendo que los clientes se conecten (se abre en una pestaña nueva) a un servicio de aplicaciones criptográficas (CAS) que ellos o la empresa administran. Sin embargo, el cajero automático también permitió a los clientes cargar videos desde la terminal al CAS, que aparentemente es donde se escondía el error.
Una vulnerabilidad de día cero previamente desconocida permitió a los actores de amenazas cargar y ejecutar una aplicación Java maliciosa y usarla para drenar los CAS operados tanto por la empresa como por sus clientes.
Mantener a flote a los clientes
General Bytes, la empresa detrás de los cajeros automáticos, abordó el problema 15 horas después de recibir la alerta sobre la falla. Sin embargo, la única forma de recuperar los fondos es hacer que la policía encuentre y arreste a los perpetradores, luego confisque y devuelva la criptomoneda robada, lo que obviamente es más fácil decirlo que hacerlo.
“La noche del 17 al 18 de marzo fue el momento más desafiante para nosotros y algunos de nuestros clientes. Todo el equipo ha estado trabajando las 24 horas para recopilar todos los datos relacionados con la brecha de seguridad y está trabajando continuamente para resolver todos los casos para ayudar a los clientes a volver a estar en línea y continuar operando sus cajeros automáticos lo antes posible”, escribió la compañía en un anuncio.
“Pedimos disculpas por lo sucedido y revisaremos todos nuestros procedimientos de seguridad y actualmente estamos haciendo todo lo posible para mantener a flote a nuestros clientes afectados”.
Al cargar y ejecutar el malware, el atacante obtuvo acceso a la base de datos del cajero automático, se le permitió leer y descifrar las claves API codificadas necesarias para acceder a los fondos y finalmente logró retirar la criptografía a una billetera separada. Además, los atacantes lograron descargar nombres de usuario y hash de contraseñas, desactivar la autenticación multifactor (MFA) y acceder a los registros de eventos del terminal para buscar claves privadas de clientes.
Una de las cosas que General Bytes está cambiando en el futuro es que ya no administrará los CAS para sus clientes; tendrán que hacerlo ellos mismos (si deciden quedarse).
Vía: Ars Technica (se abre en una pestaña nueva)